Integrare l'infrastruttura NPS esistente con Azure Multi-Factor AuthenticationIntegrate your existing NPS infrastructure with Azure Multi-Factor Authentication

L'estensione di Server dei criteri di rete (NPS) per Azure MFA aggiunge funzionalità MFA basate su cloud per l'infrastruttura di autenticazione usando i server esistenti.The Network Policy Server (NPS) extension for Azure MFA adds cloud-based MFA capabilities to your authentication infrastructure using your existing servers. Con l'estensione di Server dei criteri di rete, è possibile aggiungere la verifica con telefonata, messaggio di testo o app telefonica al flusso di autenticazione esistente senza dover installare, configurare e gestire nuovi server.With the NPS extension, you can add phone call, text message, or phone app verification to your existing authentication flow without having to install, configure, and maintain new servers.

Questa estensione è stata creata per le organizzazioni che vogliono proteggere le connessioni VPN senza distribuire Azure MFA Server.This extension was created for organizations that want to protect VPN connections without deploying the Azure MFA Server. L'estensione del server dei criteri di rete funge da adattatore tra RADIUS e Azure MFA basato su cloud per fornire un secondo fattore di autenticazione per utenti federati o sincronizzati.The NPS extension acts as an adapter between RADIUS and cloud-based Azure MFA to provide a second factor of authentication for federated or synced users.

Quando si usa l'estensione dei criteri di rete per di Azure MFA, il flusso di autenticazione include i componenti seguenti:When using the NPS extension for Azure MFA, the authentication flow includes the following components:

  1. Il Server NAS/VPN riceve le richieste dei client VPN e le converte in richieste RADIUS per il Server dei criteri di rete.NAS/VPN Server receives requests from VPN clients and converts them into RADIUS requests to NPS servers.
  2. Il Server dei criteri di rete si connette ad Active Directory per eseguire l'autenticazione principale per le richieste RADIUS e, al completamento dell'operazione, passa la richiesta alle estensioni installate.NPS Server connects to Active Directory to perform the primary authentication for the RADIUS requests and, upon success, passes the request to any installed extensions.
  3. L'estensione di Server dei criteri di rete attiva una richiesta di autenticazione secondaria per Azure MFA.NPS Extension triggers a request to Azure MFA for the secondary authentication. Dopo che l'estensione riceve la risposta e se la richiesta di verifica MFA ha esito positivo, la richiesta di autenticazione viene completata, fornendo al server di Server dei criteri di rete i token di sicurezza che includono un'attestazione MFA, emessa dal servizio token di sicurezza di Azure.Once the extension receives the response, and if the MFA challenge succeeds, it completes the authentication request by providing the NPS server with security tokens that include an MFA claim, issued by Azure STS.
  4. Azure MFA comunica con Azure Active Directory per recuperare i dettagli dell'utente ed esegue l'autenticazione secondaria grazie al metodo di verifica configurato per l'utente.Azure MFA communicates with Azure Active Directory to retrieve the user’s details and performs the secondary authentication using a verification method configured to the user.

Il diagramma seguente illustra questo flusso di richiesta di autenticazione ad alto livello:The following diagram illustrates this high-level authentication request flow:

Diagramma del flusso di autenticazione

Pianificare la distribuzionePlan your deployment

L'estensione di Server dei criteri di rete gestisce automaticamente la ridondanza, pertanto non è necessaria una configurazione speciale.The NPS extension automatically handles redundancy, so you don't need a special configuration.

È possibile creare un qualsiasi numero di Server dei criteri di rete abilitati per Azure MFA.You can create as many Azure MFA-enabled NPS servers as you need. Se si installano più server, è consigliabile usare un certificato client di differenza per ciascuno.If you do install multiple servers, you should use a difference client certificate for each one of them. La creazione di un certificato per ogni server significa che è possibile aggiornare singolarmente ogni certificato senza doversi preoccupare dei tempi di inattività in tutti i server.Creating a cert for each server means that you can update each cert individually, and not worry about downtime across all your servers.

I server VPN indirizzano le richieste di autenticazione, quindi è necessario essere a conoscenza dei nuovi Server dei criteri di rete abilitati per Azure MFA.VPN servers route authentication requests, so they need to be aware of the new Azure MFA-enabled NPS servers.

PrerequisitiPrerequisites

L'estensione di Server dei criteri di rete è progettata per funzionare con l'infrastruttura esistente.The NPS extension is meant to work with your existing infrastructure. Prima di iniziare, verificare che i prerequisiti seguenti siano disponibili.Make sure you have the following prerequisites before you begin.

LicenzeLicenses

L'estensione di Server dei criteri di rete per Azure MFA è disponibile per i clienti dotati di licenze per Multi-Factor Authentication di Azure, tra cui una licenza autonoma di Azure AD Premium, EMS o MFA.The NPS Extension for Azure MFA is available to customers with licenses for Azure Multi-Factor Authentication (included with Azure AD Premium, EMS, or an MFA stand-alone license). Le licenze in base al consumo per Azure MFA, ad esempio le licenze per utente o per autenticazione, non sono compatibili con l'estensione Server dei criteri di rete.Consumption-based licenses for Azure MFA such as per user or per authentication licenses are not compatible with the NPS extension.

SoftwareSoftware

Windows Server 2008 R2 SP1 o versione successiva.Windows Server 2008 R2 SP1 or above.

LibrerieLibraries

Queste librerie vengono installate automaticamente con l'estensione.These libraries are installed automatically with the extension.

Il modulo di Microsoft Azure Active Directory per Windows PowerShell viene installato, se non è già presente, tramite uno script di configurazione eseguito come parte del processo di installazione.The Microsoft Azure Active Directory Module for Windows PowerShell is installed, if it is not already present, through a configuration script you run as part of the setup process. Non è necessario installare il modulo in anticipo, se non è già installato.There is no need to install this module ahead of time if it is not already installed.

Azure Active DirectoryAzure Active Directory

Gli utenti che usano l'estensione di Server dei criteri di rete devono essere sincronizzati con Azure Active Directory tramite Azure AD Connect ed essere registrati a MFA.Everyone using the NPS extension must be synced to Azure Active Directory using Azure AD Connect, and must be registered for MFA.

Quando si installa l'estensione, per il tenant di Azure AD sono necessarie le credenziali di amministrazione e l'ID della directory.When you install the extension, you need the directory ID and admin credentials for your Azure AD tenant. L'ID della directory si trova nel Portale di Azure.You can find your directory ID in the Azure portal. Accedere come amministratore, selezionare l'icona di Azure Active Directory sulla sinistra, quindi selezionare Proprietà.Sign in as an administrator, select the Azure Active Directory icon on the left, then select Properties. Copiare il GUID nella casella ID directory e salvare.Copy the GUID in the Directory ID box and save it. Questo GUID verrà usato come ID tenant quando si installerà l'estensione di Server dei criteri di rete.You use this GUID as the tenant ID when you install the NPS extension.

L'ID directory si trova nelle proprietà di Azure Active Directory

Preparare l'ambientePrepare your environment

Prima di installare l'estensione di Server dei criteri di rete, è necessario preparare l'ambiente per gestire il traffico di autenticazione.Before you install the NPS extension, you want to prepare you environment to handle the authentication traffic.

Abilitare il ruolo del Server dei criteri di rete in un server appartenente a un dominioEnable the NPS role on a domain-joined server

Il Server dei criteri di rete si connette ad Azure Active Directory e autentica le richieste di MFA.The NPS server connects to Azure Active Directory and authenticates the MFA requests. Scegliere un server per questo ruolo.Choose one server for this role. Si consiglia di scegliere un server che non gestisce le richieste provenienti da altri servizi, poiché l'estensione di Server dei criteri di rete genera errori per qualsiasi richiesta non RADIUS.We recommend choosing a server that doesn't handle requests from other services, because the NPS extension throws errors for any requests that aren't RADIUS. Il Server dei criteri di rete deve essere configurato come server di autenticazione primaria e secondaria per l'ambiente. Non può inviare tramite proxy le richieste RADIUS a un altro server.The NPS server must be set up as the primary and secondary authentication server for your environment; it cannot proxy RADIUS requests to another server.

  1. Sul server avviare l'aggiunta guidata ruoli e funzionalità dal menu Avvio rapido di Server Manager.On your server, open the Add Roles and Features Wizard from the Server Manager Quickstart menu.
  2. Come tipo di installazione scegliere Installazione basata su ruoli o basata su funzionalità.Choose Role-based or feature-based installation for your installation type.
  3. Selezionare il ruolo del server Servizi di accesso e criteri di rete.Select the Network Policy and Access Services server role. Potrebbe essere visualizzata una finestra per informare l'utente riguardo alle funzionalità necessarie per eseguire questo ruolo.A window may pop up to inform you of required features to run this role.
  4. Continuare la procedura guidata fino alla pagina di conferma.Continue through the wizard until the Confirmation page. Selezionare Installa.Select Install.

Ora che si dispone di un server designato come Server dei criteri di rete, è inoltre necessario configurarlo per gestire le richieste RADIUS in ingresso dalla soluzione VPN.Now that you have a server designated for NPS, you should also configure this server to handle incoming RADIUS requests from the VPN solution.

Configurare la soluzione VPN in modo che comunichi con il Server dei criteri di reteConfigure your VPN solution to communicate with the NPS server

La procedura per configurare i criteri di autenticazione RADIUS può variare a seconda della soluzione VPN in uso.Depending on which VPN solution you use, the steps to configure your RADIUS authentication policy vary. Configurare i criteri in modo che la soluzione punti al Server dei criteri di rete RADIUS.Configure this policy to point to your RADIUS NPS server.

Sincronizzare gli utenti del dominio con il cloudSync domain users to the cloud

Questo passaggio potrebbe essere già completato nel tenant, tuttavia è consigliabile verificare che Azure AD Connect abbia sincronizzato i database di recente.This step may already be complete on your tenant, but it's good to double-check that Azure AD Connect has synchronized your databases recently.

  1. Accedere al portale di Azure come amministratore.Sign in to the Azure portal as an administrator.
  2. Selezionare Azure Active Directory > Azure AD ConnectSelect Azure Active Directory > Azure AD Connect
  3. Verificare che lo stato della sincronizzazione sia Abilitata e che l'ultima sincronizzazione sia stata eseguita da meno di un'ora.Verify that your sync status is Enabled and that your last sync was less than an hour ago.

Se si desidera avviare un nuovo ciclo di sincronizzazione, usare istruzioni presenti in Servizio di sincronizzazione Azure AD Connect: utilità di pianificazione.If you need to kick off a new round of synchronization, us the instructions in Azure AD Connect sync: Scheduler.

Determinare i metodi di autenticazione che è possibile usareDetermine which authentication methods your users can use

Sono due i fattori che determinano i metodi di autenticazione disponibili con una distribuzione dell'estensione di Server dei criteri di rete:There are two factors that affect which authentication methods are available with an NPS extension deployment:

  1. L'algoritmo di crittografia della password usato tra il client RADIUS (VPN, server Netscaler o altri) e i Server dei criteri di rete.The password encryption algorithm used between the RADIUS client (VPN, Netscaler server, or other) and the NPS servers.
    • PAP supporta tutti i metodi di autenticazione di Azure MFA nel cloud: chiamata telefonica, SMS unidirezionale, notifica dell'app per dispositivi mobili e codice di verifica dell'app per dispositivi mobili.PAP supports all the authentication methods of Azure MFA in the cloud: phone call, one-way text message, mobile app notification, and mobile app verification code.
    • CHAPV2 e EAP supportano la chiamata telefonica e la notifica dell'app per dispositivi mobili.CHAPV2 and EAP support phone call and mobile app notification.
  2. I metodi di input che l'applicazione client (VPN, server Netscaler o altra) può gestire.The input methods that the client application (VPN, Netscaler server, or other) can handle. Ad esempio, gli strumenti usati dal client VPN per consentire all'utente di digitare un codice di verifica da un testo o da un'app per dispositivi mobili.For example, does the VPN client have some means to allow the user to type in a verification code from a text or mobile app?

Quando si distribuisce l'estensione di Server dei criteri di rete, usare questi fattori per valutare i metodi disponibili per gli utenti.When you deploy the NPS extension, use these factors to evaluate which methods are available for your users. Se il client RADIUS supporta PAP, ma nel client non esistono campi di input per un codice di verifica, la chiamata telefonica e la notifica dell'app per dispositivi mobili sono le due opzioni supportate.If your RADIUS client supports PAP, but the client UX doesn't have input fields for a verification code, then phone call and mobile app notification are the two supported options.

È possibile disabilitare i metodi di autenticazione non supportati in Azure.You can disable unsupported authentication methods in Azure.

Abilitare gli utenti per l'MFAEnable users for MFA

Prima di distribuire l'estensione completa di Server dei criteri di rete, è necessario abilitare l'MFA per gli utenti su cui si desidera eseguire la verifica in due passaggi.Before you deploy the full NPS extension, you need to enable MFA for the users that you want to perform two-step verification. Per testare l'estensione in modo più immediato mentre viene distribuita, è necessario almeno un account di test completamente registrato per l'MFA.More immediately, to test the extension as you deploy it, you need at least one test account that is fully registered for Multi-Factor Authentication.

Seguire questa procedura per avviare un account di test:Use these steps to get a test account started:

  1. Accedere a https://aka.ms/mfasetup con un account di test.Sign in to https://aka.ms/mfasetup with a test account.
  2. Seguire le richieste per configurare un metodo di verifica.Follow the prompts to set up a verification method.
  3. Creare un criterio di accesso condizionale o modificare lo stato dell'utente per richiedere la verifica in due passaggi per l'account di test.Either create a conditional access policy or change the user state to require two-step verification for the test account.

Gli utenti devono inoltre eseguire la procedura per la registrazione prima di potersi autenticare con l'estensione del server dei criteri di rete.Your users also need to follow these steps to enroll before they can authenticate with the NPS extension.

Installare l'estensione di Server dei criteri di reteInstall the NPS extension

Importante

Installare l'estensione di Server dei criteri di rete in un server diverso rispetto al punto di accesso della VPN.Install the NPS extension on a different server than the VPN access point.

Scaricare e installare l'estensione di Server dei criteri di rete per Azure MFADownload and install the NPS extension for Azure MFA

  1. Scaricare l'estensione di Server dei criteri di rete dall'Area download di Microsoft.Download the NPS Extension from the Microsoft Download Center.
  2. Copiare il file binario nel Server dei criteri di rete da configurare.Copy the binary to the Network Policy Server you want to configure.
  3. Eseguire setup.exe e seguire le istruzioni di installazione.Run setup.exe and follow the installation instructions. Se si verificano errori, controllare che le due librerie indicate nella sezione sui prerequisiti siano state installate correttamente.If you encounter errors, double-check that the two libraries from the prerequisite section were successfully installed.

Eseguire lo script di PowerShellRun the PowerShell script

Il programma di installazione crea uno script di PowerShell in questa posizione: C:\Program Files\Microsoft\AzureMfa\Config (dove C:\ è l'unità di installazione).The installer creates a PowerShell script in this location: C:\Program Files\Microsoft\AzureMfa\Config (where C:\ is your installation drive). Lo script di PowerShell esegue le azioni seguenti:This PowerShell script performs the following actions:

  • Creare un certificato autofirmato.Create a self-signed certificate.
  • Associare la chiave pubblica del certificato all'entità servizio su Azure AD.Associate the public key of the certificate to the service principal on Azure AD.
  • Archiviare il certificato nell'archivio certificati del computer locale.Store the cert in the local machine cert store.
  • Concedere l'accesso alla chiave privata del certificato all'utente di rete.Grant access to the certificate’s private key to Network User.
  • Riavviare il Server dei criteri di rete.Restart the NPS.

A meno che non si desideri utilizzare i propri certificati (invece dei certificati autofirmati generati dallo script di PowerShell), eseguire lo script di PowerShell per completare l'installazione.Unless you want to use your own certificates (instead of the self-signed certificates that the PowerShell script generates), run the PowerShell Script to complete the installation. Se si installa l'estensione su più server, ciascun server dovrebbe avere il proprio certificato.If you install the extension on multiple servers, each one should have its own certificate.

  1. Eseguire Windows PowerShell come amministratore.Run Windows PowerShell as an administrator.
  2. Cambiare le directory.Change directories.

    cd "C:\Program Files\Microsoft\AzureMfa\Config"

  3. Eseguire lo script di PowerShell creato dal programma di installazione.Run the PowerShell script created by the installer.

    .\AzureMfaNpsExtnConfigSetup.ps1

  4. Accedere ad Azure AD come amministratore.Sign in to Azure AD as an administrator.

  5. Prompt di PowerShell per l'ID tenant.PowerShell prompts for your tenant ID. Usare il GUID dell'ID directory copiato dal portale di Azure nella sezione relativa ai prerequisiti.Use the Directory ID GUID that you copied from the Azure portal in the prerequisites section.
  6. Al termine dello script, PowerShell mostra un messaggio di conferma.PowerShell shows a success message when the script is finished.

Ripetere questi passaggi per tutti i server dei criteri di rete aggiuntivi che si intende configurare per il bilanciamento del carico.Repeat these steps on any additional NPS servers that you want to set up for load balancing.

Nota

Se si usano i propri certificati invece di generare certificati con lo script di PowerShell, verificare che rispettino la convenzione di denominazione di Server dei criteri di rete.If you use your own certificates instead of generating certificates with the PowerShell script, make sure that they align to the NPS naming convention. Il nome oggetto deve essere CN=<TenantID>,OU=Estensione di Server dei criteri di rete Microsoft.The subject name must be CN=<TenantID>,OU=Microsoft NPS Extension.

Configurare l'estensione di Server dei criteri di reteConfigure your NPS extension

In questa sezione sono disponibili considerazioni e suggerimenti sulla progettazione per una corretta distribuzione dell'estensione di Server dei criteri di rete.This section includes design considerations and suggestions for successful NPS extension deployments.

Limitazioni di configurazioneConfiguration limitations

  • L'estensione di Server dei criteri di rete per Azure MFA non include strumenti per la migrazione degli utenti e impostazioni dal Server MFA al cloud.The NPS extension for Azure MFA does not include tools to migrate users and settings from MFA Server to the cloud. Per questo motivo, è consigliabile usare l'estensione per le distribuzioni nuove piuttosto che per quelle esistenti.For this reason, we suggest using the extension for new deployments, rather than existing deployment. Se si usano le estensioni in una distribuzione esistente, gli utenti dovranno ripetere il processo di registrazione per popolare i dettagli di Azure MFA nel cloud.If you use the extension on an existing deployment, your users have to perform proof-up again to populate their MFA details in the cloud.
  • L'estensione di Server dei criteri di rete usa UPN dell'Active Directory locale per identificare l'utente in Azure MFA che deve eseguire l'autenticazione secondaria. L'estensione può essere configurata per usare un identificatore differente come ID di accesso alternativo o campo Active Directory personalizzato diverso dall'UPN.The NPS extension uses the UPN from the on-premises Active directory to identify the user on Azure MFA for performing the Secondary Auth. The extension can be configured to use a different identifier like alternate login ID or custom Active Directory field other than UPN. Per altre informazioni, vedere Opzioni di configurazione avanzate per l'estensione NPS per Multi-Factor Authentication.See Advanced configuration options for the NPS extension for Multi-Factor Authentication for more information.
  • Non tutti i protocolli di crittografia supportano tutti i metodi di verifica.Not all encryption protocols support all verification methods.
    • PAP supporta la chiamata telefonica, gli SMS unidirezionali, la notifica dell'app per dispositivi mobili e il codice di verifica app per dispositivi mobiliPAP supports phone call, one-way text message, mobile app notification, and mobile app verification code
    • CHAPV2 e EAP supportano la chiamata telefonica e la notifica dell'app per dispositivi mobiliCHAPV2 and EAP support phone call and mobile app notification

Client RADIUS di controllo che richiedono MFAControl RADIUS clients that require MFA

Dopo aver abilitato MFA per un client RADIUS utilizzando l'estensione di Server dei criteri di rete, tutte le autenticazioni per questo client devono eseguire MFA.Once you enable MFA for a RADIUS client using the NPS Extension, all authentications for this client are required to perform MFA. Se si desidera abilitare MFA solo per alcuni client RADIUS, è possibile configurare due server di Server dei criteri di rete e installare l'estensione solo su uno di questi.If you want to enable MFA for some RADIUS clients but not others, you can configure two NPS servers and install the extension on only one of them. Configurare i client RADIUS per cui si vuole fare in modo che MFA invii richieste al server di Server dei criteri di rete configurato con l'estensione e gli altri client RADIUS al server di Server dei criteri di rete senza configurazione per l'estensione.Configure RADIUS clients that you want to require MFA to send requests to the NPS server configured with the extension, and other RADIUS clients to the NPS server not configured with the extension.

Impostazioni per gli utenti che non sono registrati per MFAPrepare for users that aren't enrolled for MFA

Se sono presenti utenti che non sono registrati per MFA, è possibile stabilire cosa succede quando questi tentano di eseguire l'autenticazione.If you have users that aren't enrolled for MFA, you can determine what happens when they try to authenticate. Usare l'impostazione del registro di sistema REQUIRE_USER_MATCH nel percorso del registro di sistema HKLM\Software\Microsoft\AzureMFA per controllare il comportamento della funzionalità.Use the registry setting REQUIRE_USER_MATCH in the registry path HKLM\Software\Microsoft\AzureMFA to control the feature behavior. Questa impostazione non ha un'unica opzione di configurazione:This setting has a single configuration option:

ChiaveKey ValoreValue DefaultDefault
REQUIRE_USER_MATCHREQUIRE_USER_MATCH VERO/FALSOTRUE/FALSE Non impostato (equivalente a VERO)Not set (equivalent to TRUE)

Lo scopo di questa impostazione è stabilire cosa fare quando un utente non è registrato per MFA.The purpose of this setting is to determine what to do when a user is not enrolled for MFA. Quando la chiave non esiste, non è impostata o è impostata su VERO e l'utente non è registrato, allora l'estensione non esegue correttamente la richiesta di verifica MFA.When the key does not exist, is not set, or is set to TRUE, and the user is not enrolled, then the extension fails the MFA challenge. Quando la chiave è impostata su FALSO e l'utente non è registrato, l'autenticazione procede senza eseguire MFA.When the key is set to FALSE and the user is not enrolled, authentication proceeds without performing MFA. Se un utente è registrato in MFA, è necessario eseguire l'autenticazione con MFA anche se REQUIRE_USER_MATCH è impostato su FALSE.If a user is enrolled in MFA, they must authenticate with MFA even if REQUIRE_USER_MATCH is set to FALSE.

È possibile scegliere di creare questa chiave e impostarla su FALSE, durante il caricamento degli utenti che potrebbero non essere ancora registrati per Azure MFA.You can choose to create this key and set it to FALSE while your users are onboarding, and may not all be enrolled for Azure MFA yet. Poiché l'impostazione della chiave consente agli utenti che non sono registrati all'MFA di accedere, è necessario rimuovere la chiave prima di passare all'ambiente di produzione.However, since setting the key permits users that aren't enrolled for MFA to sign in, you should remove this key before going to production.

Risoluzione dei problemiTroubleshooting

Come verificare che il certificato client sia installato come previsto?How do I verify that the client cert is installed as expected?

Cercare il certificato autofirmato creato dal programma di installazione nell'archivio dei certificati e verificare che la chiave privata disponga delle autorizzazioni concesse all'utente Servizio di rete.Look for the self-signed certificate created by the installer in the cert store, and check that the private key has permissions granted to user NETWORK SERVICE. Il certificato ha come nome oggetto CN <tenantid>, OU = Estensione di Server dei criteri di rete MicrosoftThe cert has a subject name of CN <tenantid>, OU = Microsoft NPS Extension


Come verificare che il certificato client sia associato al tenant in Azure Active Directory?How can I verify that my client cert is associated to my tenant in Azure Active Directory?

Aprire il prompt dei comandi di PowerShell ed eseguire i comandi seguenti:Open PowerShell command prompt and run the following commands:

import-module MSOnline
Connect-MsolService
Get-MsolServicePrincipalCredential -AppPrincipalId "981f26a1-7f43-403b-a875-f8b09b8cd720" -ReturnKeyValues 1 

Questi comandi consentono di stampare tutti i certificati associando il tenant con l'istanza dell'estensione di Server dei criteri di rete nella sessione di PowerShell.These commands print all the certificates associating your tenant with your instance of the NPS extension in your PowerShell session. Cercare il certificato esportando il certificato client come file "Codificato Base 64 X.509 (.CER)" senza la chiave privata e confrontarlo con l'elenco di PowerShell.Look for your certificate by exporting your client cert as a "Base-64 encoded X.509(.cer)" file without the private key, and compare it with the list from PowerShell.

I timbri data/ora Valido-dal e Valido-fino al, che sono in formato leggibile, possono essere usati per filtrare i risultati errati se il comando restituisce più di un certificato.Valid-From and Valid-Until timestamps, which are in human-readable form, can be used to filter out obvious misfits if the command returns more than one cert.


Perché le richieste hanno esito negativo con errore di token ADAL?Why are my requests failing with ADAL token error?

Questo errore potrebbe essere dovuto a diverse ragioni.This error could be due to one of several reasons. Usare la procedura seguente per la risoluzione:Use these steps to help troubleshoot:

  1. Riavviare il server di Server dei criteri di rete.Restart your NPS server.
  2. Verificare che il certificato client sia installato come previsto.Verify that that client cert is installed as expected.
  3. Verificare che il certificato sia associato al tenant in Azure AD.Verify that the certificate is associated with your tenant on Azure AD.
  4. Verificare che https://login.microsoftonline.com/ sia accessibile dal server che esegue l'estensione.Verify that https://login.microsoftonline.com/ is accessible from the server running the extension.

Perché l'autenticazione ha esito negativo e restituisce un errore nei log HTTP che indica che l'utente non è stato trovato?Why does authentication fail with an error in HTTP logs stating that the user is not found?

Verificare che AD Connect sia in esecuzione e che l'utente sia presente sia in Active Directory di Windows sia in Azure Active Directory.Verify that AD Connect is running, and that the user is present in both Windows Active Directory and Azure Active Directory.


Perché vengono visualizzati errori di connessione HTTP nei log che contengono le autenticazioni non riuscite?Why do I see HTTP connect errors in logs with all my authentications failing?

Verificare che https://adnotifications.windowsazure.com sia raggiungibile dal server che esegue l'estensione di Server dei criteri di rete.Verify that https://adnotifications.windowsazure.com is reachable from the server running the NPS extension.

Passaggi successiviNext steps